Populárny správca hesiel LastPass potvrdil nový únik dát, v rámci ktorého hackeri odcudzili mená, e-maily, telefónne čísla aj záznamy zo zákazníckej podpory. Útok zasiahol externú platformu Klue a prepojené systémy Salesforce, avšak samotná infraštruktúra trezorov s heslami zostala kompletne nedotknutá. Za útokom stojí vydieračská skupina Icarus, pričom incident okrem LastPass zasiahol aj ďalšie významné firmy, respektíve služby.
Ak existuje na trhu nejaký správca hesiel, ktorý neustále dokazuje, že tieto typy služieb nie sú ani zďaleka neomylné, je to LastPass. Spoločnosť oficiálne potvrdila, že sa stala obeťou ďalšieho bezpečnostného incidentu. Hackeri tentokrát úspešne prenikli do internej databázy a odcudzili osobné informácie používateľov spolu so záznamami zákazníckej podpory. Útočníci zneužili bezpečnostnú medzeru v prostredí externej platformy Klue, ktorú tímy LastPass využívajú na analýzu trhu a obchodné operácie, informuje TechSpot.
Dobrou správou pre všetkých, ktorí platformu LastPass po všetkých tých obrovských škandáloch stále používajú, je fakt, že nedošlo na priame prelomenie infraštruktúry samotného správcu hesiel. Vedenie spoločnosti ubezpečuje, že šifrované trezory, ktoré obsahujú prístupové údaje užívateľov, zostávajú v absolútnom bezpečí. Produkty a jadro poskytovaných služieb neboli týmto útokom nijako ovplyvnené.
Zneužitie externých prístupov do Salesforce
Podstatne horšou správou však je, aké konkrétne dáta sa kyberzločincom dostali do rúk. Útočníci dokázali ukradnúť takzvané OAuth tokeny z internej platformy Klue, vďaka čomu získali neoprávnený prístup priamo do podnikového prostredia Salesforce. LastPass sa o tomto incidente dozvedel 12. júna. Systém Klue je pritom úzko integrovaný s podnikovými systémami Salesforce a Gong, hoci analýza zatiaľ nepotvrdila, že by hackeri zasiahli dáta aj z aplikácie Gong.
Zoznam odcudzených informácií obsahuje štandardné firemné kontakty a dáta zo systému správy vzťahov so zákazníkmi. Súčasťou úniku sú celé mená používateľov, ich telefónne čísla, e-mailové adresy, fyzické adresy, kompletné záznamy o riešení problémov na zákazníckej podpore a informácie súvisiace s predajom.
Tikety zo zákazníckej podpory pritom bežne obsahujú vysoko citlivé fragmenty súkromných údajov. Používatelia ich tam zadávajú najmä vtedy, keď riešia komplikácie s fakturáciou alebo problémy s prístupom k svojim účtom. Aj keď heslá tentokrát neunikli, tieto detailné informácie môžu útočníkom poslúžiť na tvorbu mimoriadne presvedčivých (a teda veľmi nebezpečných) phishingových e-mailov a útokov na báze sociálneho inžinierstva.
Kto stojí za útokom?
LastPass okamžite po odhalení incidentu zrušil všetkým zamestnancom prístup k platforme Klue a zneplatnil odhalené API kľúče. Následne, v spolupráci s expertmi zo Salesforce a Klue, spustil hĺbkové vyšetrovanie a prípad odovzdal orgánom činným v trestnom konaní. Firma zároveň dôrazne varovala svojich zákazníkov, aby boli maximálne obozretní pri akýchkoľvek nevyžiadaných e-mailoch alebo telefonátoch. Pripomenula zlaté pravidlo, že nikto z LastPass od používateľov nikdy nebude žiadať ich hlavné master heslo.
Portál BleepingComputer informoval, že k tomuto útoku na dodávateľský reťazec sa prihlásila vydieračská skupina Icarus. Tá mala kompromitovať infraštruktúru Klue zneužitím starých prihlasovacích údajov integračnej služby. LastPass navyše nie je jedinou obeťou, rovnaký útok zasiahol aj ďalšie významné organizácie vrátane firiem Recorded Future, Tanium, Jamf, Sprout Social či Gong.
Tento nový incident prichádza v čase, kedy sa LastPass ešte stále nedokázal úplne otriasť z katastrofálneho úniku z roku 2022. Celá vtedajšia sága sa začala krádežou zdrojového kódu a vyvrcholila odcudzením záloh šifrovaných používateľských trezorov. O rok na to firma priznala, že hacker napadol domáci počítač ich hlavného inžiniera cez multimediálnu aplikáciu Plex, vďaka čomu získal prístup ku firemným dátam.
Federálni agenti neskôr prepojili tento únik s krádežami kryptomien v hodnote 150 miliónov dolárov. Únik dát z externého CRM systému je síce menej vážny než vykradnutie trezorov, no pre LastPass je to to posledné, čo v tejto chvíli potrebuje.
